본문 바로가기

CKS6

CKS 합격후기(2024.06.29 합격) 안녕하세요.이번엔 약 한달전 취득한 CKS(Certified Kubernetes Security Specialist) 시험 합격 후기를 공유드리려고 합니다~   1.  준비기간CKS 공부를 시작한건 2월부터 시작 했구요처음에 자격증을 목표로 따야지! 라는 생각으로 하진 않고 가볍게 kubernetes에서는 보안쪽으로 어떤걸 공부해야할지 몰라 자격증 과정 교육을 들으며 준비했다고 보심 될 것 같아요~ 저는 제 성격을 잘 알기에 어떤걸 무언가에 쫒기듯이 하면 금방 지쳐해서 천천히 길게 목표를 잡았습니다강의는 Udemy와, 기존에 사두었던 Fastcampus 이성미강사님의 쿠버네티스 자격증 번들을 통해 두 강의를 병행하며 진행했습니다.https://www.udemy.com/course/certified-kub.. 2024. 8. 6.
Kubernetes Networkpolicy로 Pod간 트래픽 제어하기 NetworkPolicy는 어느한쪽 종단 Pod인 경우에만 적용되는 네트워크트래픽제어 Kubernetes Resource중 하나이다. Type에는 Ingress, Egress가 있으며 아래와 같은 정책을 적용할 수 있다. - 허용되는 다른 Pod(자기 자신 Pod를 제어할 수는 없음) - Namespace - IP Block Pod, Namespace는 Selector / Label설정을 통해 지정할 수 있으며, IP Block은 말그대로 IP에 대한 Ingress, Egress를 통제할 수 있다. 참고로 NetworkPolicy는 CNI가 구성되어 있어야하며, CNI가 없다면 NetworkPolicy가 적용되지 않는다. NetworkPolicy적용 시나리오: sj-pod(namespace: be-ns).. 2024. 3. 31.
Kubernetes ServiceAccount 관리 일단 쿠버네티스는 Account에 대한 기준이 두가지로 나뉜다. 1. UserAccount - 실제 사용자에게 필요한 Account이다 - 특정 Namespace에 종속적이지 않고 Global하다. 2. ServiceAccount - Container(Pod 내)안의 어플리케이션 및 프로세스가 kube-apiserver와 통신하기 위해 필요한 Account이다 - 특정 Namespace에 종속적이다. 따라서 foo라는 namespace에서 생성한 ServiceAccount는 foo namespace에서 동작하는 Pod와만 연결 가능하다. - 때에 따라서, ServiceAccount와, Token을 별도로 생성하여 해당 Token을 기반으로 Kubeconfig파일을 만들어 RBAC기반 사용자 권한 제어 관.. 2024. 3. 30.
trivy를 활용한 Container Image 취약점 스캔하기 trivy는 Aqua Security에서 개발한 Container Image 취약점 스캐너이다. Scan 대상으로는 아래와 같다. scan target - Container Image - Filesystem - Git Repository(remote) - Kubernetes cluster or Resource Scanners - 사용중인 OS패키지 및 소프트웨어 종속성이 있는 패키지들(SBOM) - 표준 취약점들(Vulnerabilities)(CVE) - IaC 코드 관련 구성오류 위와 같은 Scan 대상들을 Scanner에 대한 취약점 진단을 하게 되면 Low, Medium, High, Critical과 같은 Level로 나타내어 취약점을 Report해준다. Trivy Install 및 활용 방법 Tr.. 2024. 3. 27.

티스토리툴바